7 juillet 2025
Iskro Mollov, Directeur de la sécurité des informations, GEA (Photo : GEA)
Iskro Mollov
Directeur de la sécurité des informations, GEA
Iskro Mollov (I.M.) : Au sens large, la sécurité des informations comprend tout ce qui a trait à la protection des informations de la société, y compris bien sûr les données numériques. Cela peut englober les informations sensibles sur nos clients, fournisseurs et partenaires commerciaux, ainsi que nos propres informations, par exemple la propriété intellectuelle, notre position financière et notre positionnement stratégique ou encore les informations personnelles de nos salariés. Protéger ces informations est avant tout un travail de gouvernance holistique. L'objectif est d'éviter les attaques de pirates, de prévenir l'espionnage, d'assurer la conformité règlementaire et contractuelle, de protéger les systèmes essentiels et d'empêcher toute sorte d'interruption des relations commerciales. Nos parties prenantes veulent à juste titre avoir l'assurance que leurs information sont protégées, et ce, pas seulement dans le cadre des opérations normales, mais aussi et surtout en cas de circonstances extraordinaires comme les cyber-attaques ou les catastrophes naturelles.
I.M. : Chez GEA, nous observons toutes les branches et toutes les fonctions de manière holistique pour prendre la mesure des risques de sécurité dans notre entreprise. Nous mettons ensuite en place des mesures de sécurité efficientes et efficaces sur cette base. La sécurité des informations est particulièrement importante pour les technologies de l'information (TI), la technologie opérationnelle (TO), nos produits et nos processus de développement de produits, notre présence sur internet, nos biens et sites physiques, nos fournisseur et nos RH. Un point crucial est que la sécurité a aussi une dimension culturelle importante : une entreprise vraiment sûre doit instiller une culture dans laquelle la sécurité est une seconde nature pour chaque salarié, quel que soit son rôle, au lieu d'être vue comme la chasse gardée des spécialistes de la sécurité.
I.M. : J'ai trois grandes responsabilités qui sont inter-connectées. La première est d'examiner et d'améliorer continuellement la gouvernance de la sécurité des informations chez GEA. Dans notre équipe, nous prenons de nombreuses mesures pour y parvenir. Cela englobe orienter nos systèmes de management de la sécurité des informations (ISMS) dans le monde entier, obtenir des certifications et atteindre la conformité en matière de sécurité, superviser la gestion des risques de sécurité, la formation des salariés, la gestion des identités et de l'accès, la réponse aux incidents de sécurité, la mesure des performances, les audits et les essais de pénétration. Nous testons aussi régulièrement nos systèmes numériques et nos produits en simulant des attaques de hackers.
La deuxième est d'assurer la continuité des opérations. Autrement dit faire en sorte que GEA fonctionne bien même dans des circonstances extraordinaires. Cela comprend le fait d'être préparés à différents types d'interruptions possibles de nos opérations, comme les rançongiciels, les interruptions de la production et de la chaîne d'approvisionnement, les catastrophes naturelles, les pannes d'utilités industrielles, les troubles sociaux, les pandémies ou les problèmes juridiques.
La troisième est la gestion des crises. Dans une entreprise, les crises peuvent prendre de nombreuses formes et nous en avons connu quelques-unes de par le passé à cause de la pandémie de Covid et des conflits internationaux (militaires). Un des scénarios importants pour lequel nous nous préparons avec zèle est bien sûr une attaque de rançongiciel qui aurait un impact mondial. Pour finir, la gestion de crise est une tâche complexe à haute intensité, qui peut impliquer de nombreuses fonctions différentes au sein de l'entreprise et requiert une coordination titanesque.
I.M. : Je dirais qu'elle est plutôt diversifiée ! Notre équipe de Sécurité des informations, Continuité des opérations et Gestion de crise est composée de professionnels du monde entier, qui ont des parcours professionnels très différents. Nous avons des experts de divers aspects de la sécurité, notamment de la sécurité physique, des TI, de la TO et des produits, des spécialistes de la gestion de la continuité des opérations, de la gouvernance de la sécurité en général et de la gestion des risques. Ils sont issus de filières universitaires et autres très hétérogènes, certains ont un diplôme d'ingénieur, d'autres d'informaticien et d'autres encore de gestion des affaires.
I.M. : La sécurité des informations a évolué, c'était hier un simple rôle d'assistance et c'est aujourd'hui une fonction dédiée qui nous confère un avantage concurrentiel dans notre secteur. Bien gérée, une gouvernance supérieure de la sécurité des informations peut être un facteur décisif pour emporter un nouveau contrat. Les cyber-incidents sont malheureusement en hausse, comme l'espionnage. Par exemple, neuf entreprises sur 10 dans le monde ont essuyé au moins une attaque de rançongiciel en 2024. Et les phénomènes comme les rançongiciels en tant que service (RaaS) ne requièrent que quelques dollars et un minimum d'efforts pour une attaque potentiellement dévastatrice. Pratiquement toutes les entreprises du secteur de l'ingénierie mécanique et des procédés, et de nombreux autres, adoptent à juste titre la connectivité, l'IA et les solutions basées sur le cloud pour profiter des avantages de la numérisation. Le revers de la médaille est que cela s'accompagne d'un élargissement de la surface attaquable. De plus, les chaînes d'approvisionnement mondiales sont devenues plus vulnérable et nous avons tous vu l'environnement géopolitique devenir plus instable au cours de ces quelques dernières années.
Sans compter que le paysage règlementaire devient lui aussi plus complexe : des règlementations ambitieuses telles que la Loi sur la Cyber-Résilience (Cyber Resilience Act - CRA) et la Directive sur les réseaux et les systèmes d'information (SRI 2) dans l'UE, s'adressent directement aux exploitants et aux constructeurs d'usines. Or GEA est l'un et l'autre. En plus d'exploiter nos sites, nous construisons des installations et des machines pour nos clients. C'est une combinaison avantageuse pour nous du point de vue de la sécurité des informations : cela nous permet d'avoir une expérience concrète et complète de tout un éventail d'exigences, de possibilités et de défis potentiels dans de nombreuses industries. Compte-tenu de notre exposition et de notre expérience uniques, nous sommes en mesure d'offrir des solutions de sécurité des informations de pointe, souvent fortement personnalisées, étudiées pour répondre aux dernières exigences règlementaires.
I.M. : Absolument, l'importance de ce thème augmente continuellement. Cela se reflète nettement dans les retours de nos collègues du commercial de nos différentes divisions et régions ; ils soulignent tous l'importance grandissante de la sécurité des informations dans nos interactions avec nos clients. Nos clients ont besoin de notre aide pour faire grandir leurs entreprises. Offrir l'excellence en matière de gouvernance de la sécurité est essentiel pour instaurer et conserver leur confiance et permettre à GEA de remporter de nouveaux contrats.
I.M. : De nombreux clients préfèrent explicitement travailler avec des entreprises qui sont certifiées, par exemple selon ISO/CEI 27001. C'est une norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). Elle définit les exigences pour l'établissement, la mise en œuvre, la tenue à jour et l'amélioration continue d'un système de management de la sécurité de l'information dans une entreprise Et pour un nombre grandissant de nos clients, c'est une condition sine qua non. Les certifications de fiabilité sont la norme pour la sécurité des informations et fournissent à nos clients des éléments objectifs et transparents sur les normes de sécurité des informations strictes que nous maintenons chez GEA. Elles sont décernées exclusivement par les instituts d'inspection les plus renommés, dans notre cas par l'allemand TÜV Rheinland.
En 2021, GEA a obtenu la première certification générale ISO/CEI 27001. Cette dernière a ensuite été étendue d'année en année à de plus nombreux sites et entités juridiques de GEA. Notre re-certification la plus récente date de 2024, est relative à la dernière version de 2022 de la norme ISO/CEI 27001, et couvre toutes les activités commerciales de 53 sites GEA dans le monde. C'est une étape importante de franchie, car ISO/CEI 27001 est la norme la plus connue au monde en matière de systèmes de management de la sécurité de l'information. Nos sites de production et de nos processus de développement de produits sont également certifiés selon CEI 62443 2-1 et 4-1, les normes leaders en matière de sécurité des systèmes d'automatisation et de commande industrielles. Ce sont aussi des certifications générales de groupe dans lesquelles nous insérons chaque année un nombre grandissant de nos sites.
I.M. : Notre objectif est que la sécurité de tous les sites et produits GEA pertinents soit certifiée d'ici 2027 dans le cadre de notre Programme de sécurité global chez GEA. De plus, pour améliorer encore nos notes dans le cadre des normes ESG internationales, nous programmons d'étendre la . certification à plus de 75 % de nos salariés d'ici fin 2025. Une autre tâche qui figure dans le haut de notre liste de priorités est de préparer GEA à des règlementations plus contraignantes. Par exemple, la Loi sur la Cyber-Résilience de l'UE impose aux fabricants de tenir compte de la cybersécurité durant tout le cycle de vie du produit, ainsi que de normes strictes, et de les accompagner de comptes-rendus exhaustifs.
Mais ce qui est plus important que ces normes internationales, c‘est d'assister nos clients et de les aider à être plus sûrs, conformes et préparés pour l'avenir. Cela, d'une part, en fournissant des produits et des services numériques GEA sécurisés et, d'autre part, en fournissant des produits et des services de sécurité dédiés dans le cadre de l'offre de GEA, comme GEA Asset Care.
I.M. : C'est simple : GEA s'engage à renforcer sans cesse sa gouvernance de la sécurité des informations pour encourager l'innovation et instaurer la confiance. À l'instar de notre réputation d'excellence en matière d'ingénierie, nous voulons que nos hautes normes en matière de sécurité des informations soient une des principales raisons pour lesquelles les clients choisissent GEA. En continuant à exceller dans ce domaine, nous pourrions potentiellement mettre à profit la grande expertise acquise pour aider d'autres industries. La complexité de notre métier et l'environnement législatif avec lequel nous devons composer nous mettent dans une position de force pour cela.